Outils d'analyse de la sécurité des réseaux

HADJALI Anis VESA Vlad

Plan

Introduction Scanneurs de portLes systèmes de détection d'intrusion (SDI)Les renifleurs (sniffer)Exemples d'utilisationConclusionsQuestions

Introduction

La croissance d'Internetl'ouverture des systèmes de plus en plus d'attaques

Nécessité d'identifier les menaces.Prévoir la façon de procéder de l' « ennemi »Limiter les risques

Nécessité de connaître les menaces, les motivations des pirates et leurs façons de procéder

Scanneurs de port

Scanneur de port

Permet d'indiquer pour une machine les services qui répondent.Correspondance entre service et port (standard) exemple: http->80 smtp->25Fonction connect() du langage CDeux techniques les plus connues:

Vanilla scanHalf-open scan

Vanilla scan

TCP connect()Si le port est ouvert alors la fonction connect() retourne un descripteur valide,autrement l’appel ́échoue

Le scanner accepte via l’option -p une liste de ports à scanner. Par exemple 1-100Le scanner via l’option -h vous permet de spécifier la liste des machines à scanner. Par exemple 192.168.0.*

Méthode de scan dites "normale", fiable, mais facilement détectable et donc repoussé par un système de sécurité.

Half-open scan

Un scan de port en utilisant des paquets SYN Trouver les applications et versions associés. Le scan SYN est très rapide, c'est pour ces raisons qu'il est aussi rapidement détecté si un dispositif de sécurité tel qu'un pare-feu ou IDS est mis en place

Le port est ouvert Le port est fermé

SDI: Les systèmes de détection d'intrusion

Définitions

Intrusion lorsqu’une tierce partie essaie d’avoir de l’information et/ou accéder à un système ou plusieurs systèmes connectés en réseau.Le rôle d’un SDI est de détecter et avertir l’administrateur système de l’existence d’une telle intrusionSystème basé sur un renifleur et moteur qui analyse le trafic

Catégories de SDI

HIDS :Host-based IDSSurveillance de l'activité d'une machine en examinant les différents fichiers système de journalisationAgent installé sur une machine

NIDS :network-based IDSBasé sur une BDD des signaturesSniffant le trafic, examine chaque paquet.

Exemple: SNORT

NIDS Open Source.Analyse en temps réel le trafic réseauTechnique:

Analyse des protocolesRecherche de signatures dans les paquets

Utilisation:Détecter les scans de portsAttaques CGIDébordement de tampons

Architecture SNORT

Renifleur (sniffer)

Renifleur (définition)

Sonde qu'on place sur le réseau pour l'écouterConsultation aisée des données non chiffréesRécupérer à la volée des informations sensiblesPeut être un équipement matériel ou logiciel

Exemples pratique

Exemple

Attaque: connaître la version d'un serveur Http :

Connectez au serveur web sur le port 80telnet www.commentcamarche.net 80

Demandez la page d'accueil: GET / HTTP/1.0

Réponse du serveurHTTP/1.1 200 OKDate: Thu, 21 Mar 2002 18:22:57 GMTServer: Apache/1.3.20 (Unix) Debian/GNU

Example Dump

01:46:28.808262 IP localhost.reggie.miller.31.ssh > adsl-69-228-230-7.dsl.pltn13.pacbell.net.2481: . 2513546054:2513547434(1380) ack 1268355216 win 1281601:46:28.808271 IP localhost.reggie.miller.31.ssh > adsl-69-228-230-7.dsl.pltn13.pacbell.net.2481: P 1380:2128(748) ack 1 win 1281601:46:28.808276 IP localhost.reggie.miller.31.ssh > adsl-69-228-230-7.dsl.pltn13.pacbell.net.2481: . 2128:3508(1380) ack 1 win 1281601:46:28.890021 IP adsl-69-228-230-7.dsl.pltn13.pacbell.net.2481 > localhost.reggie.miller.31.ssh: P 1:49(48) ack 1380 win 16560

Ran tcpdump on the machine localhost.reggie.miller.31First few lines of the output:

01:46:28.808262 IP localhost.reggie.miller.31.ssh >adsl-69-228-230-7.dsl.pltn13.pacbell.net.2481: .

2513546054:2513547434(1380) ack 1268355216 win 12816

Timestamp

This is an IP packet

Source host nameSource port number (22)

Destination host nameDestination port number

TCP specific informationDifferent output formats for different packet types

What does a line convey?

1/29/2009

How a packet sniffer works

- intercepting the information travelling over network

- two types of network environments in which a sniffer works

Shared EthernetSwitched Ethernet

1/29/2009

How a packet sniffer works

Shared Ethernet

When a message is to be sent to a machine, it is broadcasted over the network and machine for which the message is intended, reads the message

Listen to all the traffic on the network. This type of sniffing is extremely difficult to detect

1/29/2009

How a packet sniffer works

Shared Ethernet

C1 C2 C3

C4 SnifferC5

1/29/2009

Switched Ethernet

- In this network formation, the machines are connected to a switch. The switch maintains a MAC table and keeps a track of each computer’s MAC address and the physical port on the switch to which the MAC address maps

- One can still sniff the traffic using techniques like ARP spoofing, which basically spoofs the MAC address of the gateway and makes the traffic route through the machine running the sniffer

How a packet sniffer works (contd...)

1/29/2009

How a packet sniffer works

Running sniffers on the gateway level

LAN

Gateway (running a sniffer)

InternetOR

External Network

1/29/2009

How a packet sniffer works

Detect udp packets

C1

C3(running a sniffer)

AP

C2

The general format of a tcp protocol line is:

src > dst: flags data-seqno ack window urgent options

Src and dst are the source and destination IP addresses and ports

Flags are some combination of S (SYN), F (FIN), P (PUSH), R (RST), W (ECN CWR) or E (ECN-Echo), or a single ‘.’ (no flags)

The general format of a tcp protocol line is:

src > dst: flags data-seqno ack window urgent options

Data-seqno describes the portion of sequence of the data in this packet

Ack is sequence number of the next data expected the other direction on this connection

The general format of a tcp protocol line is:

src > dst: flags data-seqno ack window urgent options

Window is the number of bytes of receive buffer space available the other direction on this connection

Urg indicates there is ‘urgent’ data in the packet

Options are tcp options

Conclusion

Les outils présentés ici sont d'une simplicité étonnante et efficace.Scan n'est pas une attaque en soit, mais...

cela représente une approche et donc un risque potentiel

Dans un souci de sécurité, il faut mieux que vous soyez le premier à effectuer ces tests, avant que des pirates avec des objectifs différents le fassent pour vous.

Nessus : www.nessus.orgNmap :Utilitaire libre d’audits de sécurité et d’exploration des réseaux : www.nmap.org

Bibliographie

http://www.snort.org/ http://www.forum-intrusion.com/http://doc.ubuntu-fr.org/snorthttp://www.webopedia.com/TERM/P/port_scanning.html http://www.tcpdump.org/http://blog.nicolargo.com/2007/02/tutorial-tcpdump.html

Questions